O que um cibercriminoso pode fazer com o meu e-mail?

Não é difícil de imaginar por que um cibercriminoso se interessaria por senhas bancárias ou dados de cartões de crédito. Contudo, golpistas sabem tirar proveito de diversas outras informações, inclusive algumas que podem ser consideradas públicas. O endereço de e-mail é um bom exemplo disso.

De acordo com o relatório da Cloudflare “Phishing Threats Report”, 90% dos ataques cibernéticos bem-sucedidos começam com o envio de uma simples mensagem de e-mail.

Qualquer mensagem maliciosa é mais efetiva quando o criminoso acrescenta informações pessoais, como nome ou a empresa onde a vítima trabalha. Infelizmente, o e-mail muitas vezes já traz pistas que ajudam o criminoso a conseguir outros dados.

Em e-mails corporativos, o nome da empresa costuma fazer parte do endereço, ajudando o criminoso a encontrar perfis em redes sociais profissionais. Com o nome completo e o histórico profissional e acadêmico da vítima, o criminoso já terá o que precisa para confeccionar um phishing personalizado.

Existem também serviços e aplicativos que acabam vazando informações de seus usuários. Os dados desses vazamentos podem ser consultados a partir do endereço de e-mail, o que pode revelar detalhes pessoais e senhas expostas. No mínimo, o criminoso pode descobrir em quais sites o e-mail foi usado e usar um deles como pretexto para abordar o dono da conta em questão.

Golpes que não exigem nada além do e-mail

Phishing: o phishing é o envio de uma mensagem que tenta convencer a vítima a fazer algo que seja do interesse do criminoso. O phishing tradicional é aquele que traz um link para uma página clonada para roubar credenciais da vítima ou links e anexos para contaminar seu dispositivo com malware. 

Golpe do depósito antecipado: É uma fraude que pede um pagamento em troca de algum benefício futuro, como desembaraçar uma encomenda, liberar dinheiro ou pagar uma multa. 

Extorsão falsa: A extorsão falsa é um ataque em que o criminoso alega ser um invasor que possui dados da vítima (inclusive vídeos íntimos ou senhas) e pede um valor em dinheiro – muitas vezes cobrado em criptomoeda – para não utilizar nem distribuir as informações. Porém, na maioria das vezes, ele não possui informação alguma.

Spoofing: O criminoso pode tentar mascarar o endereço de e-mail no campo de "remetente", forjando o envio de uma mensagem que parece ser de uma pessoa ou instituição conhecida. Muitos provedores de e-mail detectam tentativas de spoofing e filtram essas mensagens, mas elas ainda podem confundir alguns usuários.

Invasão de contas de e-mail

Se um endereço de e-mail já é valioso, a senha da caixa de entrada é ainda mais.

Muitos aplicativos dependem do e-mail para redefinir a senha. Portanto, o acesso à caixa de e-mail abre caminho para que o invasor acesse todos os demais serviços associados àquele e-mail cujas senhas possam ser redefinidas.

Além disso, quem tem acesso ao seu e-mail pode enviar mensagens como se fosse você sem recorrer a nenhuma técnica de spoofing. Isso ajuda o criminoso a realizar ataques de phishing contra seus contatos.

Em empresas, uma conta de e-mail comprometida pode ser usada para realizar uma fraude de Business Email Compromise (BEC). Por exemplo, o criminoso pode enviar uma fatura falsa para um cliente.

Como se proteger?

• Lembre-se que o criminoso pode coletar informações a partir do seu e-mail, inclusive senhas vazadas de outros serviços;

• Considere usar endereços de e-mail dedicados a determinadas tarefas, como um para cadastros online e outro para compras;

• Lembre-se de que e-mails marcados como spam podem ser altamente perigosos;

• Utilize senhas únicas e fortes combinadas com a verificação em duas etapas (2FA/MFA).